websafe-kb/07-framework-security/server-software/cases/apache-tomcat-cve-2023-46589.md

title, published_date, affected_versions, fixed_versions, severity, exploit_status, stack, attack_type, primary_source, secondary_sources, target_types, public_target_allowed, authorization_required, minimum_validation, prohibited_use

title	published_date	affected_versions	fixed_versions	severity	exploit_status	stack	attack_type	primary_source	secondary_sources	target_types	public_target_allowed	authorization_required	minimum_validation	prohibited_use
Apache Tomcat request smuggling mapping	2023-11-28	10.1.0-M1 to 10.1.15	10.1.16	important	See official advisory	Apache Tomcat reverse proxy	request smuggling	https://tomcat.apache.org/security-10.html		lab-local lab-public authorized-third-party	true	true	Use a lab proxy + Tomcat chain with partial PUT support and compare parser behavior.	Do not attempt smuggling payloads against unowned public services.

Apache Tomcat CVE-2023-46589 映射

事件层

• 官方来源: Apache Tomcat 10.x Security Reports
• 发布时间: 2023-11-28
• 影响范围: 10.1.0-M1 至 10.1.15
• 修复版本: 10.1.16

官方说明指出，在 Tomcat 位于反向代理之后且支持 partial PUT 时，可能出现请求走私问题。这个案例的价值在于提醒边界层与应用层解析不一致时，前置防护很容易失效。

实验层

实验思路

1. 在隔离环境中搭建“反向代理 -> Tomcat”链路。
2. 开启与公告条件匹配的请求处理能力。
3. 对比代理和 Tomcat 对同一请求边界的解析差异。
4. 升级至修复版本后再次验证。

推荐的最小化验证

• 仅在隔离链路中复现，不对无授权公网服务发送走私 payload。
• 重点记录代理日志、Tomcat access log 与应用日志的差异。
• 将复现目标限定为“确认解析不一致存在”，而不是扩展到真实业务利用。

观测点

• 代理与 Tomcat 的请求边界是否一致
• partial PUT 与代理层转发组合是否触发异常行为
• 修复版本是否消除解析差异